Рассказываем о UserGate WAF, тестируем его, исследуем особенности использования.
Защита веб-приложений с каждым годом всё актуальнее. Растет число взломов крупных компаний и утечек чувствительных данных. Нужно ли говорить о том, как важно заботиться о безопасности веб-приложений, помнить о возможных атаках и их последствиях?
Неуклонно ужесточаются требования законодательства в сфере защиты персональных данных и данных, обрабатываемых в государственных информационных системах. Растущие угрозы и новые правила заставляют ответственнее подходить к выбору компонентов защиты инфраструктуры.
Я уже рассказывал о сертифицированном WAF и OpenAppSec — решении с открытым исходным кодом. Недавно российский вендор UserGate сообщил о старте продаж нового продукта — UserGate WAF. Сегодня мы рассмотрим его заявленные особенности, установим в облаке Selectel и спрячем за него защищаемое приложение. Поехали!
Несколько слов о UserGate WAF
Сначала будем отталкиваться от информации, предоставленной вендором.
UserGate WAF — это полностью оригинальное решение на основе собственного движка анализа веб-трафика, разработанное специалистами компании без привлечения компонентов с открытым исходным кодом. UserGate WAF имеет сертификат ФСТЭК № 3905, что позволяет использовать его при аттестациях по приказу № 17 ФСТЭК. Кроме того, он внесен в реестр Минцифры под номером 28542.
Решение защищает как веб-приложения, так и API. Анализ трафика на уровне L7 обеспечивают 11 тыс встроенных правил и вариаций, которые оказываются крайне полезными на практике. Также можно создавать и кастомные правила, учитывающие логику пользовательских приложений. Язык описания политик — UserGate Policy Language (UPL).
Под капотом у UserGate WAF собственная операционная система UGOS и модули анализа трафика. Начиная с версии 7.4, UserGate WAF появилось много новых возможностей:
- поддержка кластеризации;
- модуль защиты Malicious User-Agent (антибот);
- работа с заголовками: X-Forwarded-For, X-real-IP, X-request-ID;
- обновленный интерфейс.
По аналогии с NGFW, UserGate WAF поддерживает кластеры конфигурации и отказоустойчивости. Если нужно распределение нагрузки в сторону защищаемых приложений, можно использовать встроенный балансировщик с алгоритмом Round Robin.
UserGate WAF отдает логи об атаках в форматах JSON и CEF. Такая возможность полезна для интеграции с SIEM-решениями — она позволяет централизованно следить за состоянием защиты веб-приложения.
Если вы уже работали с UserGate NGFW в виртуальном исполнении UserGate VE, то процесс установки и настройки вам знаком. Порог входа окажется существенно ниже, и начать работать с WAF получится намного быстрее. Основные компоненты — сеть, зоны, Firewall, пользователи, мониторинг и интерфейс — не вызовут сложностей.
Мы привыкли, что в большинстве случаев решения с открытым исходным кодом выигрывают от коллективного вклада мирового сообщества, огромной базы знаний и тысяч готовых правил, доступных публично. Однако заявление производителя об отсутствии в основе WAF-движка open source-компонентов является важным конкурентным отличием и дает несколько преимуществ:
- более тесную и производительную интеграцию WAF с другими подсистемами собственной ОС UGOS;
- независимость от графика обновлений и уязвимостей в сторонних компонентах — например, как это произошло с прекращением поддержки ModSecurity;
- единую точку ответственности в лице вендора.
С другой стороны, это обязывает UserGate быстро реагировать на новые векторы атак и своевременное обновление сигнатур.
selectel.ru/blog/usergate-waf/
